เครื่องสแกนความปลอดภัย JavaScript และความลับ
ปกป้องแอปพลิเคชันของคุณโดยระบุความลับ, API Key และโทเค็นที่เปิดเผยใน JavaScript ฝั่งไคลเอนต์ ป้องกันการรั่วไหลของข้อมูลโดยไม่ตั้งใจและการเข้าถึงบริการบุคคลที่สามของคุณโดยไม่ได้รับอนุญาต
การสแกนความปลอดภัยฝั่งไคลเอนต์
Bundler สมัยใหม่ — webpack, Vite, esbuild — ทำให้ง่ายมากที่จะส่งความลับฝั่งเซิร์ฟเวอร์ในโค้ดไคลเอนต์โดยไม่ตั้งใจ เครื่องสแกนของเรา Parse บันเดิล Production ของคุณเพื่อค้นหาโทเค็น, Key และข้อมูลรับรองที่ไม่ควรอยู่ในเบราว์เซอร์
🔍 สิ่งที่เราตรวจจับ
- AWS Access Key ที่เปิดเผย
- Google Cloud API Key
- Stripe Publishable/Secret Key
- Slack & Discord Webhook
- Private Key (RSA, PEM)
- Database Connection String
- ...และการตรวจสอบอีกกว่า 15 รายการ
✨ ประโยชน์ด้านความปลอดภัย
- ป้องกันการละเมิดข้อมูลก่อนที่จะเกิดขึ้น
- หลีกเลี่ยงการถูกขโมยทรัพยากรคลาวด์ที่มีราคาแพง
- ปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้
- ให้แน่ใจว่าสอดคล้อง (GDPR, SOC2)
- รักษาความปลอดภัยการผสานรวมบุคคลที่สามของคุณ
💡 เคล็ดลับความปลอดภัย
อย่า Commit ไฟล์ `.env` ใช้ Environment Variable และการจัดการ Secrets CI/CD ที่เหมาะสม ถ้า Key ถูกเปิดเผยในโค้ดฝั่งไคลเอนต์ ให้ถือว่ามันถูกกระทบกระเทือนแล้ว
FAQ ด้านความปลอดภัย
ปลอดภัยที่จะวางโค้ดที่นี่ไหม?
ใช่ การวิเคราะห์เกิดขึ้นทั้งหมดในเบราว์เซอร์ของคุณ เราไม่บันทึกหรือส่งโค้ดของคุณหรือ Key ที่เราพบไปยังเซิร์ฟเวอร์ใด ๆ
ควรทำอะไรถ้าพบ Key?
ยกเลิก Key ทันทีในแดชบอร์ดบริการที่เกี่ยวข้อง (เช่น AWS Console) หมุนเวียน Credential และอัปเดตแอปพลิเคชันของคุณให้ใช้ Environment Variable
ฉันสามารถใช้สิ่งนี้สำหรับโค้ด Backend ได้ไหม?
เครื่องมือนี้ปรับปรุงสำหรับบันเดิล Frontend และ Script ฝั่งไคลเอนต์ สำหรับโค้ด Backend ให้ใช้เครื่องมือการวิเคราะห์แบบ Static ฝั่งเซิร์ฟเวอร์ (SAST) ใน CI Pipeline ของคุณ
Key ที่ "เปิดเผย" ทั้งหมดอันตรายหรือเปล่า?
ไม่ Key บางตัว (เช่น Firebase Config หรือ Stripe Publishable Key) มีไว้เป็นสาธารณะ เครื่องมือของเราพยายามแยกแยะระหว่างโทเค็นสาธารณะและส่วนตัว